U bent hier

OR & Medezeggenschap
Verplichte aanstelling FG en instemmingsrecht OR
Voor OR & Medezeggenschap

Verplichte aanstelling FG en instemmingsrecht OR

19 september 2025

De Algemene verordening gegevensverwerking (AVG) verplicht werkgevers in sommige gevallen om een functionaris voor de gegevensbescherming (FG) aan te stellen. Daarbij kan ook de ondernemingsraad (OR) een belangrijke rol spelen.

Sommige organisaties zijn volgens de AVG sinds 25 mei 2018 verplicht om met een FG te werken. Een FG ziet erop toe dat een organisatie zich aan de AVG houdt. Zeker met de intrede van AI (Artificial Intelligence) op de werkvloer kan een FG een belangrijke rol binnen de organisatie vervullen en de persoonsgegevens van de werknemers en hun privacy beschermen. Daarin delen de FG en OR dus belangen, want ook de OR moet alert zijn bij het gebruik van Artificial Intelligence

Wanneer zijn organisaties verplicht om een FG aan te stellen?

Hoewel het aanstellen van een FG soms verplicht is, wijzen de verwerkingsverantwoordelijke (degene die opdracht tot verwerking geeft) en de verwerker (degene die de data daadwerkelijk verwerkt) in elk geval een FG aan als (artikel 37 AVG):

  • de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken.
  • een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
  • de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 AVG en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG.

Heeft de OR instemmingsrecht?

De OR heeft instemmingsrecht bij het privacybeleid van de organisatie voor zover het beleid het interne toezicht en gegevensbescherming van de werknemers raakt (artikel 27, lid 1k van de Wet op de ondernemingsraden). Heeft de (invulling van de) functie van de FG gevolgen voor het privacyreglement en wordt dit gewijzigd, dan heeft de OR instemmingsrecht op de wijziging van het reglement. Daarbij moet de OR ook waken voor een dubbelrol van de FG een FG moet onafhankelijk zijn, maar is dat vaak niet

Mag de OR de rol van de FG op zich nemen?

De AVG stelt dat een FG een natuurlijk persoon moet zijn. Een OR of commissie komt hiervoor dus niet in aanmerking. Ook moet de FG voldoende kennis hebben van de organisatie en de privacywetgeving en betrouwbaar zijn in verband met de geheimhoudingsplicht.